콘솔 및 API 액세스 정책에서 사용자 활동 조건 구성

이 문서에서는 콘솔 및 API 액세스 정책에서 사용자 활동 조건을 구성하는 방법을 설명합니다. 사용자 활동 조건은 Security Command Center Event Threat Detection의 60개가 넘는 보안 위험 지표를 기반으로 하며, 이러한 지표 중 다수는 특정 사용자 작업에 의해 트리거될 수 있습니다.

콘솔 및 API 액세스 정책에 사용자 활동 기반 위험 조건을 추가하여 조직의 보안 상태를 강화하고 동적 위험 기반 액세스 제어를 달성할 수 있습니다.

이러한 조건을 사용하면 정의된 위험 임곗값이 초과될 때 사용자에게 재인증 프롬프트를 트리거하여 ID 기반 공격을 대규모로 사전에 해결하고 위험을 완화할 수 있습니다. 예를 들어, 알려진 위험한 IP 주소에서 시스템에 액세스하려고 하거나, 평소에 로그인하지 않는 위치에서 로그인하거나, 보안 조치를 우회하려는 시도를 나타내는 행동을 보이는 경우 재인증을 요청받게 됩니다.

액세스 정책에 사용자 활동 조건을 추가하여 보안 상태를 개선하는 방법에 대한 자세한 내용은 컨텍스트 인식 액세스를 통한 ID 위협 감지 및 대응 (ITDR)을 참조하세요.

시작하기 전에

이 기능을 설정할 때는 다음 사항에 유의하세요.

  • 사용자 활동 조건은 프리미엄 기능이며 Security Command Center 프리미엄 또는 Enterprise 라이선스가 필요합니다.

  • 사용자 활동 조건 기능은 지정된 그룹 내의 Google ID 사용자 계정에서만 사용할 수 있습니다. 싱글 사인온 (SSO) 사용자 및 서비스 계정은 이 기능에서 지원되지 않습니다.

  • 직원 ID 제휴에서는 사용자 활동 조건을 사용할 수 없습니다.

  • 이 문서 전체에서 앱은 Google Cloud 콘솔 또는 Cloud Storage 버킷 또는 BigQuery에서 데이터를 가져오는 데 사용할 수 있는 Tableau 앱과 같은 커스텀 앱을 의미합니다.

액세스 정책에서 사용자 활동 조건 구성

다음과 같은 방법으로 액세스 정책을 구성할 수 있습니다.

  • 새 액세스 정책 및 액세스 수준을 만듭니다.
  • 액세스 수준을 만들거나 업데이트한 후 해당 액세스 수준을 정책에 추가합니다.

사용자 활동 조건으로 새 액세스 정책 및 액세스 수준 만들기

다음 단계에 따라 액세스 수준 및 콘솔 및 API 액세스 정책을 만듭니다.

콘솔

  1. 콘솔에서 콘솔 및 API 액세스 정책 페이지를 엽니다. Google Cloud

    콘솔 및 API 액세스 정책으로 이동

  2. 조직 선택 드롭다운 목록에서 조직을 선택한 후 선택 을 클릭합니다.

  3. 액세스 정책 추가 를 클릭합니다.

  4. 액세스 정책 만들기 대화상자에서 액세스를 제한할 그룹을 선택합니다.

  5. Google Cloud에 액세스하는 애플리케이션 선택에서 액세스를 제한할 앱을 선택합니다. 액세스 조건은 선택한 애플리케이션에 적용됩니다. 애플리케이션을 선택하지 않으면 조건은 사용자 활동 조건을 제외한 모든 애플리케이션에 대한 액세스를 제한합니다. 사용자 활동 조건은 Google Cloud 콘솔에만 적용됩니다.

  6. 액세스 수준에서 기존 테스트 실행 액세스 수준 또는 활성 액세스 수준을 선택하거나 새 액세스 수준을 만들 수 있습니다.

    1. 액세스 수준을 만들려면 새 액세스 수준 만들기 를 클릭합니다.

    2. 액세스 수준 제목 필드에 액세스 수준의 제목을 입력합니다. 제목은 최대 50자여야 하고, 문자로 시작해야 하며 숫자, 문자, 밑줄, 공백만 포함할 수 있습니다.

    3. 주 구성원이 콘솔 및 API에 액세스할 수 있는 조건을 지정합니다.

    4. 사용자 활동추천 설정에는 다음 위험 유형이 모두 포함됩니다. 액세스를 결정할 때 포함하지 않을 위험 유형은 선택 해제합니다.

      • 의심스러운 작업: 보안 제한을 삭제하거나 줄이는 등 잠재적으로 악의적인 작업입니다.
      • ID 평판: 그룹 멤버십 변경 또는 활성 상태 (비휴면)가 되는 등 계정 설정 또는 상태의 변경사항입니다.
      • 악의적인 소스: 악의적인 행위자와 연결된 IP 주소와 같은 의심스러운 소스의 활동입니다.
      • 작업 반복: ID 및 액세스 관리 (IAM) 거부와 같은 과도한 액세스 시도 실패입니다.
      • 이례적인 위치: 새로운 지리적 영역과 같은 비정상적인 위치에서의 액세스입니다.

      위험 대응, 재인증 필요 설정은 이전에 설정한 사용자 활동 조건을 기반으로 Google에서 결정한 위험 임곗값이 초과될 때 사용자에게 재인증이 필요함을 나타냅니다.

    5. 조건을 2개 이상 만든 경우 다음과 조건 결합 을 사용하여 액세스 수준에서 요청이 하나 이상의 조건을 충족해야 하는지 (OR) 또는 모든 조건을 충족해야 하는지 (AND)를 지정합니다.

    6. 저장 을 클릭합니다.

  7. 액세스 정책 만들기 페이지에서 다음 중 하나를 선택합니다.

    • 테스트 실행: 정책을 시행하기 전에 변경사항을 테스트합니다. 테스트 실행으로 시작하고, 정책 결과를 사용하여 변경사항을 적용한 후 정책을 시행하는 것이 좋습니다.
    • 시행: 정책 시행을 시작합니다.
    • 취소: 정책을 취소합니다.

gcloud

  1. custom-level-spec.yaml YAML 파일을 만듭니다.

    expression: "noRiskSignals(userRisk, [RiskType.IDENTITY_REPUTATION, RiskType.MALICIOUS_SOURCE])"

  2. 다음 명령어를 실행합니다.

    gcloud access-context-manager levels create risk_based_access_level\
  --title=TITLE \
  --custom-level-spec=YAML_FILE \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    다음을 바꿉니다.

    • TITLE: 액세스 수준에 대한 설명 제목입니다.
    • YAML_FILE: custom-level-spec.yaml과 같은 커스텀 액세스 수준 사양 YAML 파일입니다.
    • POLICY_NAME: Access Context Manager 정책의 이름입니다.

  3. 액세스 수준을 정책에 바인딩합니다.

액세스 수준을 만들거나 업데이트하고 정책에 추가

정책에 사용자 활동 조건을 포함하려면 새 액세스 수준을 만들거나 기존 액세스 수준을 업데이트한 후 해당 액세스 수준을 정책에 추가합니다.

콘솔

  1. 액세스 수준을 만들거나 업데이트할 때 사용자 활동 조건을 추가하려면 다음 문서의 단계를 완료하고 사용자 활동을 지정합니다.

  2. 사용자 활동이 포함된 액세스 수준을 기존 정책에 추가하려면 액세스 정책을 업데이트하고 액세스 수준을 추가합니다.

gcloud

  1. 사용자 활동 조건으로 액세스 수준을 만듭니다.

    gcloud access-context-manager levels create risk_based_access_level \
  --title=TITLE \
  --custom-level-spec=risk_level.yaml \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    다음을 바꿉니다.

    • TITLE: NoAtypicalLocationRisk와 같은 액세스 수준에 대한 설명 제목입니다.
    • risk_level.yaml: 이전 단계에서 만든 YAML 파일의 경로입니다.
    • POLICY_NAME: 액세스 수준을 추가할 Access Context Manager 정책의 이름입니다.

    YAML 파일 예시 risk_level.yaml:

    expression: "noRiskSignals(userRisk, [RiskType.ATYPICAL_LOCATION, RiskType.BAD_NETWORK_SIGNALS])"

    이 표현식은 사용자의 위험에 이례적인 위치 또는 잘못된 네트워크 신호가 포함되지 않은 경우 액세스 수준이 부여됨을 지정합니다.

  2. 액세스 수준을 범위 및 그룹에 바인딩합니다.

    gcloud access-context-manager cloud-bindings create \
--group-key=GROUP_KEY \
--organization=ORGANIZATION_ID \
--binding-file=BINDING_YAML

    다음을 바꿉니다.

    • GROUP_KEY: Google 그룹의 이메일 주소 또는 ID입니다.
    • ORGANIZATION_ID: 조직의 ID입니다.
    • BINDING_YAML: YAML 구성 파일입니다.

    YAML 파일 예시:

    scopedAccessSettings:
 - scope:
     clientScope:
       restrictedClientApplication:
         name: Cloud Console
   activeSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/access_level_1
   dryRunSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/dry_run_access_level_1

액세스 정책에 사용자 활동 조건이 포함된 액세스 수준 추가

기존 정책에 위험 기반 액세스 수준을 추가하려면 액세스 정책을 업데이트하고 액세스 수준을 추가하면 됩니다.